
Bruxelles, 20 octombrie – În cadrul ultimei sale sesiuni plenare, CEPD a adoptat două avize cu privire la proiectele de decizii ale Comisiei Europene privind prelungirea valabilității deciziilor Regatului Unit privind caracterul adecvat al nivelului de protecție în temeiul Regulamentului general privind protecția datelor (RGPD) și al Directivei privind protecția datelor în materie de asigurare a respectării legii (LED) până în decembrie 2031.*
Avizele CEPD, solicitate de Comisie în conformitate cu articolul 70 alineatul (1) litera (s) din RGPD și cu articolul 51 alineatul (1) litera (g) din LED, abordează propunerea de prelungire cu șase ani a celor două decizii ale Regatului Unit privind caracterul adecvat al nivelului de protecție, care urmează să expire în decembrie 2025.
Prelungirea valabilității deciziilor Regatului Unit privind caracterul adecvat al nivelului de protecție va permite organizațiilor și autorităților competente cu sediul în Europa să continue transferul de date către organizații și autorități cu sediul în Regatul Unit fără a pune în aplicare garanții suplimentare**.
„CEPDsalută alinierea continuă dintre cadrul de protecție a datelor din Regatul Unit și cel din Europa, în pofida modificărilor recente ale cadrului juridic din Regatul Unit.
Solicit Comisiei Europene să abordeze punctele evidențiate de comitet și să asigure o monitorizare eficace după adoptarea deciziilor. Acest lucru va spori soliditatea caracterului adecvat al Regatului Unit și va asigura o mai mare securitate juridică pentru organizațiile și autoritățile competente care transferă date cu caracter personal din Europa în Regatul Unit.”
Președintele CEPD, Anu Talus
Despre avizul GDPR
Potrivit comitetului, majoritatea modificărilor introduse în cadrul de protecție a datelor din Regatul Unit vizează clarificarea și facilitarea respectării legii.
Unele aspecte ale proiectului de decizie ar putea fi clarificate în continuare.
CEPD invită Comisia Europeană să analizeze și să monitorizeze în continuare modificările aduse Legii din 2023 privind dreptul UE menținut (revocare și reformă), cunoscută și sub denumirea de Legea REUL, în special eliminarea principiului supremației dreptului UE și eliminarea aplicării directe a principiilor dreptului UE.
CEPD ia act de faptul că secretarului de stat i s-au acordat noi competențe pentru a introduce modificări ale noului cadru de protecție a datelor, prin intermediul unor regulamente secundare care necesită mai puțin control parlamentar. Acesta este cazul transferurilor internaționale, al procesului decizional automatizat și al guvernanței Biroului comisarului pentru informații (ICO). CEPD invită Comisia să abordeze posibilele riscuri de divergență prin evidențierea, în decizia finală privind caracterul adecvat al nivelului de protecție, a domeniilor pe care intenționează să le monitorizeze cu atenție.
CEPD încurajează, de asemenea, Comisia să își dezvolte în continuare evaluarea și să monitorizeze normele privind transferurile din Regatul Unit către țări terțe. Noul test de adecvare, introdus prin Legea privind datele (utilizare și acces) din 2025, impune ca nivelul de protecție al țării terțe să nu fie semnificativ mai scăzut decât cel prevăzut pentru persoanele vizate de cadrul din Regatul Unit, dar acest test nu se referă la riscul accesului autorităților publice, la existența unor căi de atac pentru persoane fizice și la necesitatea unei autorități de supraveghere independente.
De asemenea, Comisia ar trebui să evalueze și să monitorizeze în continuare presupusa utilizare de către guvernul Regatului Unit a notificărilor privind capacitățile tehnice („TCN”), care impun societăților să eludeze criptarea, deoarece acest lucru ar crea vulnerabilități sistemice și ar prezenta un risc pentru integritatea și confidențialitatea comunicațiilor electronice.
În cele din urmă, CEPD invită Comisia să evalueze și să monitorizeze în continuare modificările aduse structurii ICO și exercitarea competențelor sale corective. În acest context, CEPD ia act cu satisfacție de politica de transparență a ICO și de disponibilitatea datelor statistice și analitice ale activităților sale de asigurare a respectării legii.
Noile decizii privind caracterul adecvat al nivelului de protecție se vor adăuga deciziilor din 2021, care vor continua să se aplice domeniilor neacoperite în proiectele de decizii din 2025. CEPD se bazează pe avizele sale din 2021 (14/2021 și 15/2021). În special, alinierea strânsă dintre cadrul RGPD și cadrul juridic al Regatului Unit privind dispozițiile-cheie, evidențiată în 2021, continuă să fie valabilă și în prezent (inclusiv, de exemplu, transparența, drepturile persoanelor vizate și categoriile speciale de date).
Despre opinia LED
CEPD salută alinierea continuă dintre cadrul de protecție a datelor din Europa și cel din Regatul Unit și încurajează Comisia să își completeze evaluarea cu privire la aspectele legate de derogările în materie de securitate națională. Astfel de derogări pot deroga de la majoritatea principiilor de protecție a datelor și de la unele norme internaționale privind transferul pentru autoritățile de aplicare a legii și potlimita, de asemenea, competențele de aplicare a legii și de inspecție ale ICO.
CEPD invită Comisia să analizeze normele Regatului Unit privind transferurile de date cu caracter personal către țări terțe, în special noul test de adecvare, în același mod ca în avizul privind RGPD.
Comitetul subliniază, de asemenea, abordarea mai permisivă a procesului decizional automatizat și noile competențe conferite secretarului de stat în această privință. Acesta reamintește importanța unei revizuiri umane semnificative și îndeamnă Comisia să clarifice și să monitorizeze posibilele derogări de la dreptul persoanelor de a obține intervenție umană.
În cele din urmă, CEPD recunoaște că sistemul de supraveghere a agențiilor de aplicare a dreptului penal, precum și mecanismele de recurs rămân în mare măsură neschimbate și reiterează necesitatea ca Comisia să monitorizeze îndeaproape aplicarea competențelor corective și a căilor de atac pentru persoanele fizice în cadrul de protecție a datelor din Regatul Unit.
Notă către editori:
* La 22 iulie 2025, Comisia Europeană a emis două proiecte de decizii de punere în aplicare de modificare privind protecția adecvată a datelor cu caracter personal de către Regatul Unit în temeiul articolului 45 alineatul (3) din RGPD și al articolului 36 alineatul (3) din LED. Aceste proiecte de decizii vizează prelungirea valabilității deciziilor anterioare privind caracterul adecvat al nivelului de protecție adoptate la 28 iunie 2021.
În mai 2025, Comisia a adoptat o decizie de prelungire a valabilității deciziei Regatului Unit privind caracterul adecvat al nivelului de protecție cu încă șase luni, din iunie până în decembrie 2025. CEPD a adoptat un aviz cu privire la această prelungire în mai 2025.
** O decizie privind caracterul adecvat al nivelului de protecție este un mecanism-cheie în legislația UE privind protecția datelor, care permite Comisiei Europene să stabilească dacă o țară terță sau o organizație internațională oferă un nivel adecvat de protecție a datelor. Comisia Europeană are competența de a stabili, în temeiul articolului 45 din Regulamentul (UE) 2016/679, dacă o țară din afara UE oferă un nivel adecvat de protecție a datelor.
Adoptarea unei decizii privind caracterul adecvat al nivelului de protecție implică: 1) o propunere din partea Comisiei Europene; 2) un aviz al Comitetului european pentru protecția datelor; 3) o aprobare din partea reprezentanților țărilor UE; 4) adoptarea deciziei de către Comisia Europeană.
Comunicatul de presă publicat aici a fost tradus automat din limba engleză. CEPD nu garantează acuratețea traducerii. Vă rugăm să consultați textul oficial în versiunea sa în limba engleză, în cazul în care există îndoieli.